FireEye ได้อย่างรวดเร็วเพื่อแย่ง Mega-D Botnet

บริษัท รักษาความปลอดภัยคอมพิวเตอร์ซึ่งเป็นที่รู้จักสำหรับการต่อสู้กับบอตเน็ทได้ย้ายเมื่อสัปดาห์ที่แล้วเพื่อปิดตัวสแปมผู้เล่น FireEye ซึ่งเป็น บริษัท แคลิฟอร์เนียที่ผลิตอุปกรณ์รักษาความปลอดภัยได้ติดตาม botnet ที่เรียกว่า Mega -D หรือ Ozdok Mega-D ซึ่งเป็นเครือข่ายของคอมพิวเตอร์ที่ถูกแฮ็กได้รับมอบหมายให้ส่งสแปมมากกว่า 4% ของโลกตามที่ M86 Security คอมพิวเตอร์หลายเครื่องที่สร้างขึ้น Mega-D เป็นเครื่องพีซีที่ติดไวรัสภายในบ้าน

Mega-D เป็นหนึ่งในหลาย botnet ที่ใช้มาตรการด้านเทคนิคขั้นสูงเพื่อให้แน่ใจว่าเจ้าของจะไม่สูญเสียการควบคุมพีซีที่ถูกแฮ็ก แฮกเกอร์ใช้เซิร์ฟเวอร์คำสั่งและควบคุมเพื่อออกคำแนะนำแก่เครื่องพีซีแบบ zombie เช่นเวลาที่จะเรียกใช้แคมเปญสแปม

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

ในกรณีที่เป็น Mega -D เครื่องพีซีที่ถูกแฮ็กจะค้นหาชื่อโดเมนบางแห่งเพื่อดาวน์โหลดคำแนะนำเขียน Atiq Mushtaq จาก FireEye ในบล็อกของ บริษัท หากโดเมนเหล่านี้ไม่ได้ใช้งานระบบเหล่านี้มักถูกปิดโดยผู้ให้บริการอินเทอร์เน็ตหากมีส่วนเกี่ยวข้องกับการละเมิด - เครื่อง Mega-D จะค้นหาเซิร์ฟเวอร์ DNS ที่กำหนดเอง (Domain Name System) เพื่อค้นหาโดเมนที่อาศัยอยู่

หากเป็นเช่นนั้น ยังล้มเหลว Mega-D ถูกตั้งโปรแกรมเพื่อสร้างชื่อโดเมนแบบสุ่มขึ้นอยู่กับวันที่และเวลาปัจจุบัน Mushtaq เขียน เมื่อแฮกเกอร์ลงทะเบียนชื่อโดเมนเครื่องที่ติดเชื้อสามารถไปที่นั่นเพื่อรับคำแนะนำใหม่ได้

กลไกของ Mega-D เพื่อให้แน่ใจว่ามีชีวิตอยู่ได้ทำให้ บริษัท ด้านความปลอดภัยเป็นเรื่องยาก "ถ้าไม่มีใครมีความมุ่งมั่นพอที่จะลงทะเบียนโดเมนเหล่านั้นได้ก่อนแล้วบอทธีย์จะสามารถส่งต่อโดเมนเหล่านั้นและใช้การควบคุม botnet ได้" Mushtaq เขียนเมื่อคืนวันพฤหัสบดี FireEye เริ่มทำร้ายผู้ติดตั้ง ISP มีเครื่องทำหน้าที่เป็นเซิร์ฟเวอร์คำสั่งและการควบคุมสำหรับ Mega-D ผู้ให้บริการทั้งหมดสี่รายยกเว้นการเชื่อมต่อสำหรับที่อยู่ IP ที่ใช้โดย Mega-D Mushtaq เขียน FireEye ได้ติดต่อนายทะเบียนที่ควบคุมชื่อโดเมนที่ใช้สำหรับ Mega-D

ในฐานะที่เป็นมาตรการสุดท้าย FireEye ได้ลงทะเบียนชื่อโดเมนที่สร้างขึ้นโดยอัตโนมัติที่ติดไวรัสคอมพิวเตอร์เมกะไบต์ D จะติดต่อถ้าเครื่องไม่สามารถเข้าถึง command-and- (9) Mushtaq ได้เขียนเมื่อวันศุกร์ที่ 264,784 ที่อยู่ IP (Internet Protocol) ที่ไม่ซ้ำกันติดต่อ FireEye's server "sinkhole" หรือเซิร์ฟเวอร์ที่ติดตั้งเพื่อระบุเครื่องคอมพิวเตอร์ที่ติดไวรัส

"ข้อมูลที่รวบรวมได้จากเซิร์ฟเวอร์ Sinkhole Logs จะถูกใช้เพื่อระบุเครื่องเหยื่อ "Mushtaq เขียนว่า

หวังว่า ISP จะติดต่อสมาชิกเหล่านั้นและแจ้งให้ทราบว่าจำเป็นต้องใช้งานการสแกนไวรัสด้วย

ความพยายามของ FireEye พร้อมกับความร่วมมือของ ISP และนายทะเบียนดูเหมือนจะเคยชินกับ Mega-D อย่างน้อยก็ชั่วคราว

ในวันจันทร์ที่ผ่านมาสถิติจาก M86 Security พบว่าสแปมเมกะ D เกือบจะหยุดลงแล้ว M86 เคยเห็นคอมพิวเตอร์ที่ติดเชื้อ Mega-D เพียงหนึ่งเครื่องส่งข้อความสแปมถึง 15,000 ข้อความต่อชั่วโมง

"เห็นได้ชัดว่ามันยากมาก แต่ก็เป็นไปไม่ได้ที่จะกำจัดบางส่วนของ botnet ที่น่ารังเกียจที่สุดของโลก" "Mushtaq เขียน.

แต่การอภัยโทษอาจไม่นาน FireEye ถูก pre-empting Mega-D โดยการลงทะเบียนโดเมนบอทจะมองหา แต่กระบวนการที่สามารถจะไม่มีที่สิ้นสุดและมีราคาแพง ถ้า FireEye หยุดการลงทะเบียนโดเมนและบอตที่ไม่ได้รับการเรียกที่บ้านแฮกเกอร์สามารถอัปโหลดโค้ดใหม่ให้กับพวกเขาเพื่อทำให้ยากต่อการปิดตัวลง

"เราไม่แน่ใจว่าเราจะสามารถติดตามโดเมนในอนาคตได้มากแค่ไหน" Mushtaq เขียน.